Tentativo di intrusione ?

[dMajo]

se tu avessi compilato integralmente la tua firma (EXP: E4: NET9 PC:W9,M0,L6) avrei capito il tuo livello di conoscenza e usato un linguaggio appropriato.

le porte 80/443 sono HTTP e HTTPS rispettivamente, quelle con cui tu generalmente navigi in internet e sono necessarie per accedere ai servzi (filestation, downloadstation, ...) senza usare porte dedicate da aprire sul router ... ma soprattutto se intendi dotarti di un certificato SSL (di crittografia, per non trasmettere password in chiaro) LetsEncrypt, che il NAS gestisce e rinnova in automatico, ma che LetsEncrypt verifica.

FQDN (FulltQualifiedDomainName) significa il nome macchina (pc, nb, nas) completo ovvero pc.eventualesottodominio.dominio.tlc es mail.miodominio.it (dove mail è il nome host, ovvero del nas in questo caso). quando tu navighi un sito www.dominio.com www è il nome host (la macchina con il web-server; dominio e ovvio e com è il tld ovvero il TopLevelDomain ovvero dominio di primo livello). Un sottodominio per intenderci como minimo è un dominio di 3° livello

Il router ha un indirizzo WAN (lato esterno) ed un indirizzo LAN (lato interno). tu al nas puoi accedere esternamente puntando l'indirizzo WAN del router che redirige il traffico all'indirizzo privato del NAS sulla rete LAN interna. Se dall'interno (cosa che farebbe un'applicazione del cellulare in wifi) tu cerchi di raggiungere il NAS il router si ritrova del traffico proveniente dall'interno che punta (anziche ad uscire, destinato ad un IP esterno) l'indirizzo WAN. Su questo traffico il router dovrebbe applicare le regole di instradamento (come se fosse originato esternamente) e rimandarlo indietro verso il NAS. Questa funzionalità del router è detta di LOOPBACK, ed è spesso mal supportata da router domestici/economici.
In sostanza quando wuoi accedere a filestation.miodominio.it o miodominio.it/file o miodominio.it:(ad esempio via DSFILE android):

• senza DNS
  • dall'esterno punti a 1.2.3.4 (IP wan)
  • dall'interno punti a 1.2.3.4 (uasndo il loopback)
• con DNS interno (sul NAS)
  • dall'esterno punti a 1.2.3.4 (IP wan)
  • dall'interno punti a 192.168.1.100 (direttamente all'IP del nas)

il tutto automaticamente in maniera trasparente all'utente


AFP/NFS/SMB/interfaccia DSM(5000/5001) non si pubblicano. Questi servizi si usano via VPN. A questo punto il QuickConnect diventa superfluo e per il quale va anche considerato che:

• Il servizio è offerto gratuitamente e senza alcun impegno
• Per funzionare il servizio triangola la comunicazione (ovvero il nas è costantemente collegato al server synology, il cel chiama il server synology che mette in contatto i due flussi)
• A causa del punto precedente tutto il traffico scambiato così passa attraverso synology. Ergo non vi è certezza possibile di privacy salvo la reciproca fiducia.
• In caso di problemi al loro server la connessione non funziona.

[Alexander-10]

Ti ringrazio davvero della lunga spiegazione, purtroppo però le mie limitate conoscenze in ambito non mi permettono di comprendere appieno quanto esposto.

Proviamo a far al contrario, e ti dico cosa ho capito e cos'ho fatto così cerchiamo di risolvere direttamente il caso.

Seguendo i tuoi consigli ho tolto le regole di port forwarding per DSM e AFP e ho risolto usando:
1) Per accedere all'interfaccia web del DSM: Quickconnect con attivata l'opzione di "reindirizzare automaticamente la connessione Http su Https per desktop DSM"
(non sarà l'opzione più "elegante" e ho letto gli svantaggi che hai elencato, ma mi è sembrata la cosa più semplice e, al contempo, sicura)

2) Per montare le cartelle su desktop MAC:
Utilizzare WebDav (con certificato Let's Encrypt creato direttamente nel DSM del NAS, sul quale ho attivato anche DDNS) aprendo sul router la porta WebDav impostata da me per l'indirizzo IP Statico del NAS che ho assegnato in DSM.
Risultato, che ho inserito in "connessione al server" del finder del Mac: "https:// DDNS-CREATO-DA-ME.synology.me : PORTA-WEBDAV-HTTPS"
Così facendo mi ha montato la cartella del NAS sul Mac, sfruttando un protocollo che, se ho capito bene, non rallenta la velocità di trasferimento come Quickconnect, ma è più sicuro di AFP perchè utilizza un certificato.

Livello di conoscenza: Kintaro Oe... imparo imparo imparo


P.S. a proposito, tu hai sconsigliato di aprire porte sul router per AFP (e in effetti anche il NAS oggi mi sono accorto che me lo ha segnalato, così ho cancellato la regola dal router).
Ho notato che se però cambio la porta esterna (e tengo internamente la porta 548) il NAS non mi segnala più errore. Come mai non lo rileva più come un rischio? In ogni caso ho scartato questa idea visto che tu appunto in un precedente commento sconsigliavi di aprire porte su DSM anche con utilizzo di PAT.

[dMajo]

Scusa,
ma perché non ti installi OpenVPN sul MAC e VPN server sul NAS? Devi reindirizzare una sola porta dal router (3 se consideri anche 80 e 443 che ti servono per i certificati LetsEncrypt, ma che puoi anche usare per pubblicare un sito ad esempio con webstation). .... E con le refole firewall del NAS potresti anche decidere quali funzioni consentire via VPN, quali locale, quali rendere pubbliche .... il tutto con possibilità anche di filtri geografici (geolocalizzazione IP) supportati dal firewall del NAS.

Poi connesso in VPN puoi fare tutto quello che vuoi (firewall permettendo), utilizzare tutte le funzioni e servizi come se fossi direttamente connesso alla LAN del NAS, tutto attraverso un unico tunnel senza ulteriori configurazioni.

[Alexander-10]

vero anche questo. però VPN non rallenta un po' i trasferimenti? avevo letto così a riguardo.
In ogni caso capisco che la VPN sia il meglio, ma, se mi confermi che le opzioni che ho settato ora sono sicure, non starei a mettermi a fare ulteriori modifiche (almeno per ora).
Non immagini quante notti insonni già ho trascorso per capire il significato di tutte le varie sigle "AFP, Webdav, DSM, ...", per configurare il NAS, ecc ecc ecc.
cose che, nonostante utilizzi il pc/mac da 25anni, non mi era ancora [fortunatamente] capitato di dover approfondire..

[Alexander-10]

c'è nessuno?

[burghy86]

Usa la vpn. Che problema c'è?

[Alexander-10]

Passare da VPN non rallenta i trasferimenti?

[burghy86]

Sono comunque limitati dalla tua linea.

[Alexander-10]

ok, se è sbagliata la diceria che la VPN rallenti i trasferimenti (rispetto a WebDav per esempio), ci darò un'occhiata prossimamente. grazie

Intanto mi chiedevo se c'è modo di assegnare lo stesso IP al Mac, anche quando connesso a internet tramite iPhone, così da non dover cambiare continuamente le impostazioni internet del Mac (tra quando mi connetto da rete di casa e quando mi connetto tramite iPhone).

Attualmente infatti se tengo l'IP statico assegnato 192.168.**** (su cui ho aperto le porte) il Mac si connette all'iPhone, ma non a internet (esce il classico simbolo del wifi con punto esclamativo)

[dMajo]

La VPN può indubbiamente rallentare la connessione. La banda dipende dalla capacità della CPU di crittografare il tunnel. Se la capacità della CPU è superiore alla banda della connessione internet la VPN non rallenta nulla.

il client che si connette via VPN avrà un proprio indirizzo IP (internet) assegnato dal fornitore della connettività. Ne riceverà un secondo dalla VPN, che può essere dinamico o statico, di norma sempre privato, sulla stessa o altra LAN a seconda che la VPN venga fatta in routing o bridging. Tutto questo dipende dalle configurazioni server-client VPN.